在 SqlCommand 中传递数组参数
Posted
技术标签:
【中文标题】在 SqlCommand 中传递数组参数【英文标题】:Pass Array Parameter in SqlCommand 【发布时间】:2011-01-23 13:34:48 【问题描述】:我正在尝试将数组参数传递给 C# 中的 SQL commnd,如下所示,但它不起作用。有人遇到过吗?
string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
if (item.Selected)
sb.Append(item.Text + ",");
sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
【问题讨论】:
不是真正的主题,但在我看来,将 Age 作为表中的一列是一个坏主意,因为它需要不断更新。人会变老吗?也许您应该考虑改用 DateOfBirth 列? 这里有好答案的问题:***.com/questions/83471/… 【参考方案1】:您需要一次在数组中添加一个值。
var parameters = new string[items.Length];
var cmd = new SqlCommand();
for (int i = 0; i < items.Length; i++)
parameters[i] = string.Format("@Age0", i);
cmd.Parameters.AddWithValue(parameters[i], items[i]);
cmd.CommandText = string.Format("SELECT * from TableA WHERE Age IN (0)", string.Join(", ", parameters));
cmd.Connection = new SqlConnection(connStr);
更新:这是一个扩展且可重复使用的解决方案,它使用了 Adam 的答案以及他建议的编辑。我对其进行了一些改进,并使其成为一种扩展方法,使其更易于调用。
public static class SqlCommandExt
/// <summary>
/// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
/// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (paramNameRoot))
/// </summary>
/// <param name="cmd">The SqlCommand object to add parameters to.</param>
/// <param name="paramNameRoot">What the parameter should be named followed by a unique value for each value. This value surrounded by in the CommandText will be replaced.</param>
/// <param name="values">The array of strings that need to be added as parameters.</param>
/// <param name="dbType">One of the System.Data.SqlDbType values. If null, determines type based on T.</param>
/// <param name="size">The maximum size, in bytes, of the data within the column. The default value is inferred from the parameter value.</param>
public static SqlParameter[] AddArrayParameters<T>(this SqlCommand cmd, string paramNameRoot, IEnumerable<T> values, SqlDbType? dbType = null, int? size = null)
/* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually.
* Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
* IN statement in the CommandText.
*/
var parameters = new List<SqlParameter>();
var parameterNames = new List<string>();
var paramNbr = 1;
foreach (var value in values)
var paramName = string.Format("@01", paramNameRoot, paramNbr++);
parameterNames.Add(paramName);
SqlParameter p = new SqlParameter(paramName, value);
if (dbType.HasValue)
p.SqlDbType = dbType.Value;
if (size.HasValue)
p.Size = size.Value;
cmd.Parameters.Add(p);
parameters.Add(p);
cmd.CommandText = cmd.CommandText.Replace("" + paramNameRoot + "", string.Join(",", parameterNames));
return parameters.ToArray();
是这样称呼的……
var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN (Age)");
cmd.AddArrayParameters("Age", new int[] 1, 2, 3 );
注意 sql 语句中的“Age”与我们发送给 AddArrayParameters 的参数名称相同。 AddArrayParameters 会将值替换为正确的参数。
【讨论】:
这种方法有安全问题吗,比如sql注入? 因为您将值放入参数中,所以没有 sql 注入的风险。 我喜欢这个,并且只在将占位符字符串提取到变量后进行了以下修改:var paramPlaceholder = "" & paramNameRoot & "";Debug.Assert(cmd.CommandText.Contains(paramPlaceholder), "Parameter Name Root must exist in the Source Query"); 如果开发人员忘记将 paramNameRoot 与查询匹配,这应该会有所帮助。
这是错误的做法,应该使用表值参数https://***.com/a/10409710/1565525
这个答案是错误的,因为它的可扩展性和性能很差,并且会促进不良的编码实践。【参考方案2】:
我想扩展 Brian 为使其在其他地方易于使用而做出的贡献。
/// <summary>
/// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
/// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (returnValue))
/// </summary>
/// <param name="sqlCommand">The SqlCommand object to add parameters to.</param>
/// <param name="array">The array of strings that need to be added as parameters.</param>
/// <param name="paramName">What the parameter should be named.</param>
protected string AddArrayParameters(SqlCommand sqlCommand, string[] array, string paramName)
/* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually.
* Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
* IN statement in the CommandText.
*/
var parameters = new string[array.Length];
for (int i = 0; i < array.Length; i++)
parameters[i] = string.Format("@01", paramName, i);
sqlCommand.Parameters.AddWithValue(parameters[i], array[i]);
return string.Join(", ", parameters);
您可以按如下方式使用这个新功能:
SqlCommand cmd = new SqlCommand();
string ageParameters = AddArrayParameters(cmd, agesArray, "Age");
sql = string.Format("SELECT * FROM TableA WHERE Age IN (0)", ageParameters);
cmd.CommandText = sql;
编辑: 这是一个通用变体,可用于任何类型的值数组,并可用作扩展方法:
public static class Extensions
public static void AddArrayParameters<T>(this SqlCommand cmd, string name, IEnumerable<T> values)
name = name.StartsWith("@") ? name : "@" + name;
var names = string.Join(", ", values.Select((value, i) =>
var paramName = name + i;
cmd.Parameters.AddWithValue(paramName, value);
return paramName;
));
cmd.CommandText = cmd.CommandText.Replace(name, names);
然后您可以按如下方式使用此扩展方法:
var ageList = new List<int> 1, 3, 5, 7, 9, 11 ;
var cmd = new SqlCommand();
cmd.CommandText = "SELECT * FROM MyTable WHERE Age IN (@Age)";
cmd.AddArrayParameters("Age", ageList);
确保在调用 AddArrayParameters 之前设置 CommandText。
还要确保您的参数名称不会部分匹配您声明中的任何其他内容(即@AgeOfChild)
【讨论】:
这是一个通用变体,适用于任何类型的值数组,并可用作扩展方法: public static void AddArrayParametersAddWithValue 函数,你有机会解决这个问题吗?
这个答案是错误的,因为它的可扩展性和性能很差,并且会促进不良的编码实践。【参考方案3】:
如果你可以使用像“dapper”这样的工具,这可以很简单:
int[] ages = 20, 21, 22 ; // could be any common list-like type
var rows = connection.Query<YourType>("SELECT * from TableA WHERE Age IN @ages",
new ages ).ToList();
Dapper 将为您处理将其解包为单个参数。
【讨论】:
Dapper 拉取了很多依赖 :( @mlt 嗯?不,它没有;在 netfx 上:“无依赖关系”;在 ns2.0 上,只有“System.Reflection.Emit.Lightweight”——如果我们添加一个 necroreapp 目标,我们可能会删除它 我不是故意要劫持讨论,但我做到了......到目前为止,我使用 Npgsql 来处理数组,就像'1,2,3' 函数的样式参数一样(不是 WHERE IN 子句) ,但如果不是数组麻烦,我宁愿使用普通的 ODBC。我想在这种情况下我也需要 Dapper ODBC。这就是它想要拉的东西。 snipboard.io/HU0RpJ.jpg 。也许我应该阅读更多关于 Dapper...【参考方案4】:
如果您使用的是 MS SQL Server 2008 及更高版本,则可以使用此处所述的表值参数 http://www.sommarskog.se/arrays-in-sql-2008.html.
1。为您将使用的每个参数类型创建一个表类型
以下命令为整数创建表类型:
create type int32_id_list as table (id int not null primary key)
2。实现辅助方法
public static SqlCommand AddParameter<T>(this SqlCommand command, string name, IEnumerable<T> ids)
var parameter = command.CreateParameter();
parameter.ParameterName = name;
parameter.TypeName = typeof(T).Name.ToLowerInvariant() + "_id_list";
parameter.SqlDbType = SqlDbType.Structured;
parameter.Direction = ParameterDirection.Input;
parameter.Value = CreateIdList(ids);
command.Parameters.Add(parameter);
return command;
private static DataTable CreateIdList<T>(IEnumerable<T> ids)
var table = new DataTable();
table.Columns.Add("id", typeof (T));
foreach (var id in ids)
table.Rows.Add(id);
return table;
3。像这样使用它
cmd.CommandText = "select * from TableA where Age in (select id from @age)";
cmd.AddParameter("@age", new [] 1,2,3,4,5);
【讨论】:
使用 SonarQube 时,table.Rows.Add(id); 行会产生 minor code smell。我在 foreach 中使用了这个替代方法:var row = table.NewRow(); row["id"] = id; table.Rows.Add(row);.
我可以在 CommandText 中动态/临时创建表 int32_id_list(在您的示例中)吗?例如。使用 SqlDataAdapter(command).Fill(dataTable) 时?【参考方案5】:
因为上面有方法
SqlCommand.Parameters.AddWithValue(parameterName, value)
创建一个接受要替换的参数(名称)和值列表的方法可能更方便。它不在 Parameters 级别(如 AddWithValue),而是在命令本身,因此最好将其称为 AddParametersWithValues 而不仅仅是 AddWithValues :
查询:
SELECT * from TableA WHERE Age IN (@age)
用法:
sqlCommand.AddParametersWithValues("@age", 1, 2, 3);
扩展方法:
public static class SqlCommandExtensions
public static void AddParametersWithValues<T>(this SqlCommand cmd, string parameterName, params T[] values)
var parameterNames = new List<string>();
for(int i = 0; i < values.Count(); i++)
var paramName = @"@param" + i;
cmd.Parameters.AddWithValue(paramName, values.ElementAt(i));
parameterNames.Add(paramName);
cmd.CommandText = cmd.CommandText.Replace(parameterName, string.Join(",", parameterNames));
【讨论】:
参数名最好使用静态索引【参考方案6】:我想提出另一种方法,如何解决 IN 运算符的限制。
例如我们有以下查询
select *
from Users U
WHERE U.ID in (@ids)
我们想要传递多个 ID 来过滤用户。不幸的是,不可能以简单的方式使用 C#。但是我通过使用“string_split”函数找到了解决方法。我们需要将我们的查询改写一下。
declare @ids nvarchar(max) = '1,2,3'
SELECT *
FROM Users as U
CROSS APPLY string_split(@ids, ',') as UIDS
WHERE U.ID = UIDS.value
现在我们可以轻松传递一个参数枚举值,用逗号分隔。
【讨论】:
【参考方案7】:将项目数组作为折叠参数传递给 WHERE..IN 子句将失败,因为查询将采用 WHERE Age IN ("11, 13, 14, 16") 的形式。
但您可以将参数作为序列化为 XML 或 JSON 的数组传递:
使用nodes()方法:
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
if (item.Selected)
sb.Append("<age>" + item.Text + "</age>"); // actually it's xml-ish
sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
SELECT Tab.col.value('.', 'int') as Age from @Ages.nodes('/age') as Tab(col))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = sb.ToString();
使用OPENXML方法:
using System.Xml.Linq;
...
XElement xml = new XElement("Ages");
foreach (ListItem item in ddlAge.Items)
if (item.Selected)
xml.Add(new XElement("age", item.Text);
sqlComm.CommandText = @"DECLARE @idoc int;
EXEC sp_xml_preparedocument @idoc OUTPUT, @Ages;
SELECT * from TableA WHERE Age IN (
SELECT Age from OPENXML(@idoc, '/Ages/age') with (Age int 'text()')
EXEC sp_xml_removedocument @idoc";
sqlComm.Parameters.Add("@Ages", SqlDbType.Xml);
sqlComm.Parameters["@Ages"].Value = xml.ToString();
这在 SQL 方面有点多,您需要一个适当的 XML(带有根)。
使用OPENJSON 方法(SQL Server 2016+):
using Newtonsoft.Json;
...
List<string> ages = new List<string>();
foreach (ListItem item in ddlAge.Items)
if (item.Selected)
ages.Add(item.Text);
sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
select value from OPENJSON(@Ages))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = JsonConvert.SerializeObject(ages);
请注意,对于最后一种方法,您还需要将兼容级别设置为 130+。
【讨论】:
【参考方案8】:使用.AddWithValue(),所以:
sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));
或者,你可以使用这个:
sqlComm.Parameters.Add(
new SqlParameter("@Age", sb.ToString().TrimEnd(',')) SqlDbType = SqlDbType. NVarChar
);
您的总代码示例将如下所示:
string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
if (item.Selected)
sb.Append(item.Text + ",");
sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));
// OR
// sqlComm.Parameters.Add(new SqlParameter("@Age", sb.ToString().TrimEnd(',')) SqlDbType = SqlDbType. NVarChar );
【讨论】:
Age 字段的类型是 nvchar 而不是 int。有关系吗? 不应该。尤其是第二种方法。您明确指定类型。 两种方法我都用了,还是不行。我不想操纵可能导致安全问题的字符串 我不太了解你。当你说它不起作用时,它会抛出异常吗?它有什么作用? 它不会抛出异常,它什么也不返回。但是我在 Studio Management 中运行 T-SQL,它返回了很多结果。【参考方案9】:这是布赖恩答案的一个小变体,其他人可能会觉得有用。获取一个键列表并将其放入参数列表中。
//keyList is a List<string>
System.Data.SqlClient.SqlCommand command = new System.Data.SqlClient.SqlCommand();
string sql = "SELECT fieldList FROM dbo.tableName WHERE keyField in (";
int i = 1;
foreach (string key in keyList)
sql = sql + "@key" + i + ",";
command.Parameters.AddWithValue("@key" + i, key);
i++;
sql = sql.TrimEnd(',') + ")";
【讨论】:
这个答案是错误的,因为它的可扩展性和性能很差,并且会促进不良的编码实践。【参考方案10】:概述:使用 DbType 设置参数类型。
var parameter = new SqlParameter();
parameter.ParameterName = "@UserID";
parameter.DbType = DbType.Int32;
parameter.Value = userID.ToString();
var command = conn.CreateCommand()
command.Parameters.Add(parameter);
var reader = await command.ExecuteReaderAsync()
【讨论】:
【参考方案11】:这样试试
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
if (item.Selected)
string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
sb.Append(item.Text + ",");
sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
【讨论】:
为什么要把SqlConnection和SqlCommnad放在循环中? 试试 sqlComm.Parameters["@Age"].Value = sb.ToString().Replace(","," ");以上是关于在 SqlCommand 中传递数组参数的主要内容,如果未能解决你的问题,请参考以下文章
SQLHelper通用类执行一条返回结果集的SqlCommand命令 使用方法